如何解决帕洛阿尔托网络的 VoIP 问题 Firewall
198200
Created On 12/28/18 07:07 AM - Last Modified 01/11/24 21:29 PM
Objective
VoIP(即通过互联网协议传输语音)在当今世界被高度使用,因为它经济且可扩展。
但是,使用 VoIP 通信网络时存在一些挑战 IP ,例如:
- 语音传输延迟: 与传统的电话交换设备不同,通过互联网路由的分组使其更容易遭受损失
- 复杂性: 呼叫建立,呼叫终止
- 互操作性: 域中的多个玩家。 虽然他们中的大多数都坚持 Rfcs, 但有些偏差会导致互操作性问题
- 向后与现有兼容性 PSTN (公共交换电话网络)
一般来说,VoIP 流量有两个组成部分:
- 信号:
- 建立和终止呼叫的过程
- 常用的协议是 SIP H ,。323,, MGCP 瘦等。
- 音频/视频数据传输
- 音频使用实时传输协议传输 ( RTP )
- RTP 消息被封装在 UDP 数据图中,进一步封装在 IP 用于传输的数据图中
最初,在相关实体之间建立了父信号会话。 信息 RTP / RTCP 通信通过信号通道发送,之后 RTP / RTCP 流用于实际数据。
由于 VoIP 解决方案的实现数量不一,因此很难解释或预测帕洛阿尔托网络防火墙对所有这些解决方案的行为。 但是,有一般准则来帮助排除任何 VoIP 问题。
Environment
PAN-OS
Procedure
第 1 步: 识别信号协议和产品简介
这一步骤对于了解通信流程非常重要。 不同的信号协议具有不同的消息结构,了解信号通信中的字段是调试 VoIP 问题的关键。
例如:
- SIP 使用 SDP (会话描述协议)来交换有关 RTP / RTCP 流的信息。
- H。323 使用 RAS 和 H 0.245渠道来交换有关 RTP / RTCP 流的信息。
第 2 步: 识别所涉及的实体
常用实体 SIP 包括:
- 用户代理客户端 UAC (): 发送请求并收到响应的实体。
- 用户代理服务器 UAS () : 接收请求并发送响应的实体。
- 代理服务器:位于两个用户代理之间,并接受用户代理的请求并将其转发给其他用户。
- 注册服务器:接受用户代理的注册请求,帮助用户在网络中验证自己。 它将 URI 用户的位置存储在数据库中以帮助其他 SIP 服务器。
- 终端:用户通常会遇到的设备,如简单的 IP 手机或强大的高清视频会议系统。
- 多点控制单元:负责管理多点会议。
- ALG
Additional Information
重要的是要使用流基本和ctd基础数据收集来了解ALG的操作:一些常见问题:
- 电话无法注册或初始连接问题
- 电话可以注册,但无法拨打电话。
- 电话可以拨打电话,但音频/视频无法正常工作,或者只有单向音频/视频。
- 音频/视频工作正常,但质量很差。
- 如果 NAT 涉及客户端或服务器没有 NAT Traversal功能,或者他们设置为在系统上配置静态公共IP,则 ALG 将是强制性的。
- ALG只有在验证不需要任何功能的情况下,才应进行禁用 ALG 。
- 有时,最好是应用程序覆盖父信号会话,以避免 ALG 功能,而不是在全球禁用 ALG 。 当某些流量需要,而有些交通需求不需要时,这种情况将保持 ALG 。
- 确保策略配置为允许 RTP / RTCP 流量以及策略中,即使已形成预测会话, policy 查找仍要检查是否允许应用。